Это вело к бурным дебатам в индустрии компьютерной безопасности. С одной стороны, фанаты «поваренных книг» говорили, что Zardoz может быть полезен только если люди будут откровенны друг с другом. Они хотели, чтобы люди, пишущие письма в Zardoz, предоставляли детали, как шаг-за-шагом использовать данную дыру в безопасности. Так или иначе хакеры всегда узнавали об ошибке и лучшим способом обезопасить от них свою систему было гарантировать её должным образом в первоисточнике. Они требовали полного раскрытия.
С другой стороны, бескомпромиссные типы, управляющие компьютерной безопасностью, спорили, что рассылки Zardoz содержали самый серьезный риск безопасности. Что если Zardoz попадет в неверные руки? Любой 17-летний хакер получит пошаговую инструкцию, показывающую как взломать тысячи клмпьютеров! А если вы все же должны раскрыть промах в безопасности (жюри все еще считало это плохой идеей), то делать это нужно только в самых общих терминах.
Консерваторы не понимали, что хакеры мирового класса как Электрон могли не часами, а днями читать и тщательно обрабатывать рассылки Zardoz, чтобы самостоятельно разработать метод для использования дыры в безопасности, упоминаемой в тексте. После этого они могли так же легко написать свою версию поваренной книги для данного бага.
Многие хорошие хакеры наталкивались на 1 или 2 выпуска Zardoz во время своих путешествий в престижных компьютерных институтах, часто раскапывая письма системного администратора. Но ни у кого из элитного подполья Альтос не было полного архива всех вышедших изданий. Хакер, который обладал ими, мог бы знать детали каждой большой компьютерной дыры в безопасности, обнаруженной лучшими специалистами по крайней мере с 1988-го года.
Как и Zardoz, Deszip хорошо охранялся. Он был написан компьютерным экспертом Мэтью Бишопом, который работал в исследовательском институте Расширенной Информатики НАСА, пока не устроился на преподавательскую должность в Дартмуте, колледже в Нью-Хэмпшире. Правительство США считало очень быстрый алгоритм шифрования Deszip настолько важным, что классифицировало его как оружие. Экспортировать его из США было незаконно.
Конечно, немногие хакеры в 1990-м имели желание использовать должным образом такое оружие как Zardoz и Deszip. Действительно, многие даже не знали об их существовании. Но Электрон и Феникс знали, наряду с крошечной горсткой других, включая Пада и Гэндальфа из Британии. Собираясь на Альтос в Германии, они работали с группой других избранных, тщательно выбирая сайты, вероятно содержащие золотое руно. Они методично собирали частички информации вместе, с изящным, почти судебным умением. Пока обычная толпа других хакеров ломала головой стену brute-force-атаками на случайные машины, эти хакеры тратили время, охотясь на стратегические точки – ахилесовы пяты сообщества компьютерной безопасности.
Они разработали неофициальный список приоритетных машин, большинство из которых принадлежали высокоранговым специалистам из компьютерной безопасности. Обнаружив 1 или 2 ранних выпуска Zardoz, Электрон тщательно просмотрел рассылки. Он не просто искал баги в безопасности – он также особое внимание уделял именам и адресам людей, написавших статьи. Авторы, которые часто появлялись в рассылках или говорили что-нибудь достаточно умное, отправлялись в список. Это были люди, на машинах которых вероятно находились копии Deszip или архива Zardoz.
Информацию о Deszip и DES (стандарте шифрования данных), первоначальной программе шифрования, использованной позднее в Deszip, Электрон искал по всему миру. Он охотился в компьютерах ньюйоркского университета, исследовательской лаборатории ВМС США в Вашингтоне, Университете Рутгера в Нью-Джерси, мельбурнском университете и тамперском университете в Финляндии, но поиск не приносил плоды. Он нашел только копию CDES, общедоступной программы шифрования, которая использовала алгоритм DES, но не Deszip. CDES могла использоваться только для зашифровки файлов, но не для взлома паролей.
|
8th Май 2011
|
Теги:
|